以恶意广告形式传播Cinobi银行木马，窃取加密货币账户

一项针对日本的新的基于社会工程的恶意广告活动被发现提供恶意应用程序，该应用程序在受感染的 Windows 机器上部署银行木马程序，以窃取与加密货币帐户相关的凭据。

趋势科技研究人员 Jaromir Horejsi 和 Joseph C Chen在上周发表的一项分析中表示，该应用程序伪装成动画色情游戏、奖励积分应用程序或视频流应用程序，并将该操作归因于它跟踪为 Water Kappa 的威胁行为者，这是以前发现通过利用漏洞在Internet Explorer浏览器针对日本网上银行用户提供Cinobi木马。

研究人员补充说，策略的转变表明对手正在挑出 Internet Explorer 以外的网络浏览器用户。

Water Kappa 的最新感染例程开始于日本动画色情游戏、奖励积分应用程序或视频流服务的恶意广告，登陆页面敦促受害者下载该应用程序 – 一个 ZIP 存档，其中包含来自旧版本“Logitech Capture”的文件” 2018 年的应用程序，但也有修改的文件，这些文件经过精心编排以解密和运行 shellcode，进而触发 Cinobi 银行木马的执行。

除了从非日本 IP 地址对恶意广告门户的地理围栏访问之外，该木马还旨在窃取 11 家日本金融机构的用户名和密码，其中 3 家金融机构涉及加密货币交易。如果用户访问目标网站之一，Cinobi 的表单抓取模块将被激活以捕获登录屏幕中填写的信息。

研究人员说：“新的恶意广告活动表明，Water Kappa 仍然很活跃，并不断发展他们的工具和技术以获得更大的经济收益——这一活动也旨在窃取加密货币。” “为了尽量减少被感染的机会，用户需要警惕可疑网站上的可疑广告，并尽可能只从可信来源下载应用程序。”